文章目錄

• 關(guān)于VLAN
• • 為什么需要虛擬局域網(wǎng)VLAN
  • VLAN劃分機(jī)制
  • VLAN的優(yōu)點(diǎn)
• 基于端口的靜態(tài)VLAN劃分
• • Access端口
  • Trunk端口
  • 華為交換機(jī)私有的Hybrid端口類型
• 其余VLAN劃分方式
• • 基于MAC地址劃分VLAN
  • 基于子網(wǎng)劃分VLAN
  • 基于協(xié)議劃分VLAN
  • 基于策略(MAC地址、IP地址、接口)劃分VLAN
• 三層交換技術(shù)
• • 三層交換機(jī)和二層交換機(jī)
  • 三層交換技術(shù)

---

關(guān)于VLAN

為什么需要虛擬局域網(wǎng)VLAN

使用一個(gè)或多個(gè)以太網(wǎng)交換機(jī)互連起來的交換式以太網(wǎng)，其所有站點(diǎn)都屬于同一個(gè)廣播域；隨著交換式以太網(wǎng)規(guī)模的擴(kuò)大，廣播域相應(yīng)擴(kuò)大。巨大的廣播域會(huì)帶來很多弊端：

• 廣播風(fēng)暴(浪費(fèi)網(wǎng)絡(luò)資源和各主機(jī)的CPU資源)
• 難以管理和維護(hù)
• 潛在的安全問題

網(wǎng)絡(luò)中會(huì)頻繁出現(xiàn)廣播信息，比如TCP/IP協(xié)議棧中的很多協(xié)議會(huì)用到廣播：

• 地址解析協(xié)議ARP(已知IP地址，找出其相應(yīng)的MAC地址)
• 路由信息協(xié)議RIP(一種小型的內(nèi)部路由協(xié)議)
• 動(dòng)態(tài)主機(jī)配置協(xié)議DHCP(用于自動(dòng)配置IP地址)

為了分割廣播域，虛擬局域網(wǎng)VLAN技術(shù)應(yīng)運(yùn)而生。利用以太網(wǎng)交換機(jī)可以很方便地實(shí)現(xiàn)VLAN，將局域網(wǎng)內(nèi)的設(shè)備劃分成與物理位置無關(guān)的邏輯組的技術(shù)，這些邏輯組具有某些共同的需求。

IEEE 802.1Q 對虛擬局域網(wǎng) VLAN 的定義： 虛擬局域網(wǎng) VLAN 是由一些局域網(wǎng)網(wǎng)段構(gòu)成的與物理位置無關(guān)的邏輯組，而這些網(wǎng)段具有某些共同的需求。每一個(gè) VLAN 的幀都有一個(gè)明確的標(biāo)識(shí)符，指明發(fā)送這個(gè)幀的計(jì)算機(jī)是屬于哪一個(gè) VLAN。同一個(gè)VLAN內(nèi)部可以廣播通信，不同VLAN不可以廣播通信

VLAN劃分機(jī)制

vlan的劃分方式分為靜態(tài)vlan劃分和動(dòng)態(tài)vlan劃分兩種。其中，動(dòng)態(tài)vlan劃分方法又包括基于MAC地址、基于互聯(lián)網(wǎng)協(xié)議、基于IP組播、基于策略等多種方法。本文主要介紹最常用的基于端口的靜態(tài)vlan劃分，然后補(bǔ)充講解其它的VLAN劃分方式。

VLAN的優(yōu)點(diǎn)

提高安全性：沒有劃分VLAN前，交換機(jī)端口連接下的所有主機(jī)都處于一個(gè)LAN中，即一個(gè)廣播域中，實(shí)現(xiàn)ARP中間人攻擊非常簡單。劃分了VLAN之后，縮小了ARP攻擊的范圍。

提高性能：不劃分VLAN，整個(gè)交換機(jī)都處于一個(gè)廣播域，隨便一臺(tái)PC發(fā)送的廣播報(bào)文都能傳送整個(gè)廣域播，占用了很多帶寬（引起廣播風(fēng)暴）。劃分了VLAN，縮小的廣播域的大小，縮小了廣播報(bào)文能夠到達(dá)的范圍。

網(wǎng)絡(luò)管理簡單、直觀 。對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個(gè)VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。

基于端口的靜態(tài)VLAN劃分

虛擬局域網(wǎng)VLAN技術(shù)是在交換機(jī)上實(shí)現(xiàn)的，需要交換機(jī)能夠?qū)崿F(xiàn)以下功能：

• 能夠處理帶有VLAN標(biāo)記的幀——IEEE 802.1 Q幀（對于用戶主機(jī)是不可見的）
  
• 交換機(jī)的各端口可以支持不同的端口類型，不同端口類型的端口對幀的處理方式有所不同。

  交換機(jī)的端口類型有以下三種： Access、Trunk、Hybird。交換機(jī)各端口的缺省VLAN ID：在思科交換機(jī)上稱為Native VLAN；在華為交換機(jī)上稱為Port VLAN ID，即端口VLAN ID，簡記為PVID。

Access端口

用于交換機(jī)與用戶計(jì)算機(jī)的互聯(lián)，Access端口只能屬于一個(gè)VLAN。Access端口的PVID值與端口所屬VLAN的ID相同(默認(rèn)為1)。

接收處理方法：一般只接受“未打標(biāo)簽"的普通以太網(wǎng)MAC幀。根據(jù)接收幀的端口的PVID給幀“打標(biāo)簽”，即插入4字節(jié)VLAN標(biāo)記字段，字段中的VID取值與端口的PVID取值相同。

發(fā)送處理方法：若幀中的VID與端口的PVID相同，則“去標(biāo)簽”并轉(zhuǎn)發(fā)該幀，否則不轉(zhuǎn)發(fā)。

Trunk端口

一般用于交換機(jī)之間或交換機(jī)與路由器之間的互連。Trunk端口可以屬于多個(gè)VLAN，用戶可以設(shè)置Trunk端口的PVID值，默認(rèn)情況下，Trunk端口的PVID值為1。

發(fā)送處理方法：對VID等于PVID的幀，“去標(biāo)簽”再轉(zhuǎn)發(fā)；對VID不等于PVID的幀，直接發(fā)出。

接收處理方法：接收“未打標(biāo)簽”的幀，根據(jù)接收幀的端口的PVID給幀“打標(biāo)簽”，即插入4字節(jié)VLAN標(biāo)記字段，字段中的VID取值與端口的PVID取值相等。對于有VID標(biāo)簽的包，若VID在允許之列，進(jìn)入；否則丟棄。

PS：互連的Trunki端口的PVID值不等，可能會(huì)造成轉(zhuǎn)發(fā)錯(cuò)誤！

華為交換機(jī)私有的Hybrid端口類型

Hybird是華為交換機(jī)接口上默認(rèn)的接口類型，既可用于交換機(jī)之間或交換機(jī)與路由器之間的互連，也可用于交換機(jī)與用戶計(jì)算機(jī)之間的互連。Hybird端口可以屬于多個(gè)VLAN，用戶可以設(shè)置Hybird端口的PVID值，默認(rèn)情況下為1。

發(fā)送處理方法：查看幀的VID是否在端口的“去標(biāo)簽”列表中，若存在則為去標(biāo)簽再轉(zhuǎn)發(fā)；若不存在則直接轉(zhuǎn)發(fā)(主機(jī)無法處理IEEE 802.1 Q幀，會(huì)丟棄)。

接收處理方法：接收“未打標(biāo)簽”的幀，根據(jù)接收幀的端口的PVID給幀“打標(biāo)簽”，即插入4字節(jié)VLAN標(biāo)記字段，字段中的VID取值與端口的PVID取值相等。接收“已打標(biāo)簽的幀”。

基于端口劃分的VLAN缺點(diǎn)是靈活性不好。例如當(dāng)一個(gè)網(wǎng)絡(luò)站點(diǎn)從一個(gè)端口移動(dòng)到另外一個(gè)新的端口時(shí)，如果新端口與舊端口不屬于同一個(gè)虛擬局域網(wǎng)，則用戶必須對該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置，否則，該站點(diǎn)將無法進(jìn)行網(wǎng)絡(luò)通信。

其余VLAN劃分方式

基于MAC地址劃分VLAN

實(shí)現(xiàn)：網(wǎng)絡(luò)管理員預(yù)先配置MAC地址和VLAN ID映射關(guān)系表，當(dāng)交換機(jī)收到的是Untagged幀時(shí)，就依據(jù)該表給數(shù)據(jù)幀添加指定VLAN的Tag。然后數(shù)據(jù)幀將在指定VLAN中傳輸。

優(yōu)點(diǎn)：不管計(jì)算機(jī)連接到交換機(jī)的哪個(gè)接口，如果交換機(jī)從一個(gè)位置移動(dòng)到另一個(gè)位置，連接的端口從一個(gè)換到另一個(gè)，只要計(jì)算機(jī)的MAC地址不變(計(jì)算機(jī)使用的網(wǎng)卡不變)，它將仍屬于原VLAN的成員，不需網(wǎng)絡(luò)管理員對交換機(jī)軟件進(jìn)行重新配置。

缺點(diǎn)：如果網(wǎng)絡(luò)規(guī)模比較大，則網(wǎng)絡(luò)管理員初始的配置工作量相當(dāng)大，并且用戶更換網(wǎng)卡后，網(wǎng)絡(luò)管理員也需要對VLAN的配置進(jìn)行相應(yīng)的改變。

適用于位置經(jīng)常移動(dòng)但網(wǎng)卡不經(jīng)常更換的小型網(wǎng)絡(luò)，如移動(dòng)PC。

基于子網(wǎng)劃分VLAN

實(shí)現(xiàn)：根據(jù)數(shù)據(jù)幀中的源IP地址和子網(wǎng)掩碼來劃分VLAN。網(wǎng)絡(luò)管理員預(yù)先配置IP地址和VLAN ID映射關(guān)系表，當(dāng)交換機(jī)收到的是Untagged幀，就依據(jù)該表給數(shù)據(jù)幀添加指定VLAN的Tag。然后數(shù)據(jù)幀將在指定VLAN中傳輸。IP劃分vlan只能在hybrid端口上劃分。

優(yōu)點(diǎn)：當(dāng)用戶的物理位置發(fā)生改變，不需要重新配置VLAN。可以減少網(wǎng)絡(luò)通信量，可使廣播域跨越多個(gè)交換機(jī)。

缺點(diǎn)：網(wǎng)絡(luò)中的用戶分布需要有規(guī)律，且多個(gè)用戶在同一個(gè)網(wǎng)段。

適用于對安全需求不高、對移動(dòng)性和簡易管理需求較高的場景中。比如，一臺(tái)PC配置多個(gè)IP地址分別訪問不同網(wǎng)段的服務(wù)器，以及PC切換IP地址后要求VLAN自動(dòng)切換等場景。

基于協(xié)議劃分VLAN

實(shí)現(xiàn)：根據(jù)數(shù)據(jù)幀所屬的協(xié)議(族)類型及封裝格式來劃分VLAN。網(wǎng)絡(luò)管理員預(yù)先配置以太網(wǎng)幀中的協(xié)議域和VLAN ID的映射關(guān)系表，如果收到的是Untagged幀，就依據(jù)該表給數(shù)據(jù)幀添加指定VLAN的Tag。然后數(shù)據(jù)幀將在指定VLAN中傳輸。

優(yōu)點(diǎn)：將網(wǎng)絡(luò)中提供的服務(wù)類型與VLAN相綁定，方便管理和維護(hù)。

缺點(diǎn)：需要對網(wǎng)絡(luò)中所有的協(xié)議類型和VLAN ID的映射關(guān)系表進(jìn)行初始配置。需要分析各種協(xié)議的格式并進(jìn)行相應(yīng)的轉(zhuǎn)換，消耗交換機(jī)較多的資源，速度上稍具劣勢。

適用于需要同時(shí)運(yùn)行多協(xié)議的網(wǎng)絡(luò)。

基于策略(MAC地址、IP地址、接口)劃分VLAN

實(shí)現(xiàn)：根據(jù)配置的策略劃分VLAN，能實(shí)現(xiàn)多種組合的劃分方式，包括接口、MAC地址、IP地址等。網(wǎng)絡(luò)管理員預(yù)先配置策略，如果收到的是Untagged幀，且匹配配置的策略時(shí)，給數(shù)據(jù)幀添加指定VLAN的Tag。然后數(shù)據(jù)幀將在指定VLAN中傳輸。

優(yōu)點(diǎn)：安全性高，VLAN劃分后，用戶不能改變IP地址或MAC地址。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式或需求選擇劃分方式。

缺點(diǎn)：針對每一條策略都需要手工配置。

適用于需求比較復(fù)雜的環(huán)境。

三層交換技術(shù)

根據(jù)目前為止學(xué)習(xí)的知識(shí)，我們已經(jīng)知道兩臺(tái)計(jì)算機(jī)即使連接在同一臺(tái)交換機(jī)上，只要所屬的VLAN不同就無法直接通信。接下來我們將要學(xué)習(xí)的就是如何在不同的VLAN間進(jìn)行路由，使分屬不同VLAN的主機(jī)能夠互相通信。

三層交換機(jī)和二層交換機(jī)

二層交換機(jī)工作于OSI模型的二層(數(shù)據(jù)鏈路層)，可以識(shí)別數(shù)據(jù)包中的MAC地址信息，根據(jù)MAC地址進(jìn)行轉(zhuǎn)發(fā)，并將這些MAC地址與對應(yīng)的端口記錄在自己內(nèi)部的一個(gè)地址表中。

三層交換機(jī)位于三層(網(wǎng)絡(luò)層)，是具有部分路由器功能的交換機(jī)。目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，所具有的路由功能也是為這目的服務(wù)的，能夠做到一次路由，多次轉(zhuǎn)發(fā)。此外，三層交換機(jī)可以執(zhí)行靜態(tài)路由和動(dòng)態(tài)路由。這意味著三層交換機(jī)同時(shí)具有MAC地址表和IP路由表，并且還處理VLAN內(nèi)通信以及不同VLAN之間的數(shù)據(jù)包路由。僅添加靜態(tài)路由的交換機(jī)稱為弱三層交換機(jī)。除路由數(shù)據(jù)包外，三層交換機(jī)還包括一些功能，這些功能需要能夠理解進(jìn)入交換機(jī)的數(shù)據(jù)的IP地址信息，例如基于IP地址標(biāo)記VLAN流量，而不是手動(dòng)配置端口。三層交換機(jī)的功率和安全性得到了提高。

二層和三層交換機(jī)之間的主要區(qū)別在于是否擁有路由功能。選擇二層或者三層交換機(jī)取決于網(wǎng)絡(luò)需求，對于純二層網(wǎng)絡(luò)，二層交換機(jī)足以滿足需求；如果需要交換機(jī)聚合來訪問多個(gè)交換機(jī)并進(jìn)行VLAN間路由，則需要三層交換機(jī)。這在網(wǎng)絡(luò)拓?fù)渲蟹Q為分布層。

三層交換技術(shù)

三層交換技術(shù)可以利用路由原理實(shí)現(xiàn)不同VLAN間的PC互相通信(一次路由，多次交換)，在內(nèi)部生成“VLAN接口”(VLAN Interface)，用于各VLAN收發(fā)數(shù)據(jù)的接口。

為什么不同VLAN間不通過路由就無法通信?

在LAN內(nèi)的通信，必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址。而為了獲取MAC地址，TCP/IP協(xié)議下使用的是ARP。ARP解析MAC地址的方法，則是通過廣播。計(jì)算機(jī)分屬不同的VLAN，也就意味著分屬不同的廣播域，如果廣播報(bào)文無法到達(dá)，那么就無從解析MAC地址，亦即無法直接通信。

三層交換機(jī)路由轉(zhuǎn)發(fā)數(shù)據(jù)的過程

計(jì)算機(jī)A與計(jì)算機(jī)C間通信，針對目標(biāo)IP地址，計(jì)算機(jī)A可以判斷出通信對象不屬于同一個(gè)網(wǎng)絡(luò)，因此向默認(rèn)網(wǎng)關(guān)發(fā)送數(shù)據(jù)(Frame 1)。

交換機(jī)通過檢索MAC地址列表后，經(jīng)由內(nèi)部匯聚鏈接，將數(shù)據(jù)幀轉(zhuǎn)發(fā)給路由模塊。在通過內(nèi)部匯聚鏈路時(shí)，數(shù)據(jù)幀被附加了屬于紅色VLAN的VLAN識(shí)別信息(Frame 2)。

路由模塊在收到數(shù)據(jù)幀時(shí)，先由數(shù)據(jù)幀附加的VLAN識(shí)別信息分辨出它屬于紅色VLAN，據(jù)此判斷由紅色VLAN接口負(fù)責(zé)接收并進(jìn)行路由處理。因?yàn)槟繕?biāo)網(wǎng)絡(luò)192.168.2.0/24是直連路由器的網(wǎng)絡(luò)、且對應(yīng)藍(lán)色VLAN;因此，接下來就會(huì)從藍(lán)色VLAN接口經(jīng)由內(nèi)部匯聚鏈路轉(zhuǎn)發(fā)回交換模塊。在通過匯聚鏈路時(shí)，這次數(shù)據(jù)幀被附加上屬于藍(lán)色VLAN的識(shí)別信息(Frame 3)。

交換機(jī)收到這個(gè)幀后，檢索藍(lán)色VLAN的MAC地址列表，確認(rèn)需要將它轉(zhuǎn)發(fā)給端口3。由于端口3是通常的訪問鏈接，因此轉(zhuǎn)發(fā)前會(huì)先將VLAN識(shí)別信息去除(Frame 4)。最終，計(jì)算機(jī)C成功地收到交換機(jī)轉(zhuǎn)發(fā)來的數(shù)據(jù)幀。

---

參考文獻(xiàn)：
VLAN和子網(wǎng)劃分詳解
配置基于MAC地址的VLAN劃分示例
TCP/IP協(xié)議棧-之-三層交換技術(shù)

總結(jié)

以上是生活随笔為你收集整理的关于VLAN(虚拟局域网)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。